Čo znamená § 39 – Bezpečnosť spracúvania

Jednoduché vysvetlenie z: Zákon o ochrane osobných údajov (zákon č. 18/2018 Z.z.)

Sledovať zmeny
Panel nástrojov

§ 39 – Bezpečnosť spracúvania

Trvalý odkaz
Jednoducho
(1)
Prevádzkovateľ aj sprostredkovateľ musia zohľadniť aktuálne poznatky, náklady, povahu spracúvania a riziká. Musia prijať primerané opatrenia na ochranu údajov. Môže ísť o:
a)
pseudonymizáciu a šifrovanie,
b)
zabezpečenie toho, že k údajom sa dostanú len oprávnení ľudia, že zostanú nezmenené, dostupné a systém bude odolný,
c)
plán, ako obnoviť údaje po incidente,
d)
pravidelné kontrolovanie, či opatrenia fungujú.
(2)
Pri hodnotení bezpečnosti sa prihliada na riziká poškodenia, straty, zmeny alebo neoprávneného sprístupnenia údajov, a to aj pri ich prenose, uchovávaní alebo inom spracúvaní.
(3)
Splnenie týchto pravidiel možno preukázať schváleným kódexom správania alebo certifikátom.
(4)
Prevádzkovateľ aj sprostredkovateľ musia zabezpečiť, aby osoby pracujúce za nich a majúce prístup k údajom spracúvali tieto údaje len podľa pokynov alebo podľa zákona či medzinárodnej zmluvy.
Originál
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
a)
pseudonymizáciu a šifrovanie osobných údajov,
b)
zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
c)
proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
d)
proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
(2)
Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.
(3)
Súlad s požiadavkami uvedenými v odseku 1 možno preukázať schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86 .
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.